1. Юридическое уведомление (Legal Notice)
Контролёр: Finoditax Spółka z ograniczoną odpowiedzialnością, ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com.
Правовая база: Регламент (ЕС) № 2016/679 («GDPR»); Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych; Ustawa o rachunkowości; Ordynacja podatkowa; Prawo telekomunikacyjne (art. 173–174); Kodeks pracy; Kodeks cywilny.
Применимость: Политика обязательна для finoditax.com и субдоменов: my.finoditax.com, billing.finoditax.com, support.finoditax.com, help.finoditax.com. При противоречиях преимущественную силу имеет положение, предоставляющее большую защиту субъекту данных.
2. Преамбула и правовые основы
Настоящая Политика устанавливает правила обработки персональных данных в Finoditax, включая сбор, запись, систематизацию, хранение, адаптацию, извлечение, просмотр, использование, раскрытие, сопоставление, ограничение, удаление и уничтожение (art. 4(2) GDPR). Обработка осуществляется на законных основаниях (art. 6), с соблюдением принципов (art. 5), с внедрением мер безопасности (art. 32), реестров (art. 30), DPIA (art. 35–36), уведомлений (art. 33–34), ограничений передачи (гл. V), а также подотчётности (art. 5(2), 24).
3. Определения (art. 4 GDPR)
Термин | Определение |
---|---|
Персональные данные | Информация об идентифицированном/идентифицируемом физическом лице (art. 4(1)). |
Обработка | Любая операция над данными (art. 4(2)). |
Контролёр | Определяет цели и средства обработки (art. 4(7)). |
Обработчик | Действует по поручению контролёра (art. 4(8), 28). |
Совместные контролёры | Совместно определяют цели/средства (art. 26). |
Нарушение данных | Событие, повлекшее утрату конфиденциальности/целостности/доступности (art. 4(12)). |
DPIA | Оценка воздействия на защиту данных (art. 35). |
ROPA | Реестр операций обработки (art. 30). |
TOMs | Технические и организационные меры (art. 32). |
4. Принципы и законность (art. 5–6)
- законность, добросовестность, прозрачность;
- ограниченность целью и минимизация;
- точность и актуальность;
- ограниченность сроком хранения;
- целостность и конфиденциальность;
- подотчётность контролёра.
Основания: art. 6(1)(a–f); специальные категории — art. 9(2); автоматизация — art. 22.
5. Сфера действия и субдомены
- finoditax.com — корпоративный сайт (контент, формы, маркетинг, cookies).
- my.finoditax.com — панель клиента (аккаунты, отчётность, документооборот).
- billing.finoditax.com — биллинг и платежи (инвойсы, транзакции).
- support.finoditax.com — тикеты поддержки, SLA, переписка.
- help.finoditax.com — база знаний, поведенческие метрики.
Потоки данных между субдоменами
Взаимная передача осуществляется по принципу необходимости, сквозная аутентификация ограничена; используется шифрование TLS 1.3 и журналирование. Для кросс‑доменных сценариев выполняется DPIA и минимизация наборов данных.
6. Роли контролёра и обработчика
Finoditax выступает контролёром персональных данных пользователей сайтов и клиентов; обработчиком — при выполнении договоров бухгалтерского/кадрового обслуживания от имени клиентов. Во втором случае действует договор поручения (art. 28), включающий цели, продолжительность, категории данных, TOMs, субобработку, аудит и возврат/удаление данных.
7. Категории и классификация данных
- Идентификационные: имя, фамилия, фирма, NIP, REGON, KRS, PESEL, подпись.
- Контактные: адрес, e‑mail, телефон, адрес для корреспонденции.
- Финансовые/бухгалтерские: реквизиты, инвойсы, VAT/PIT/CIT, ZUS, отчёты.
- Кадровые (клиентов): договоры, зарплата, отпуска, больничные, счёт сотрудника.
- Технические: IP, cookies, user‑agent, логи, токены, параметры соединения.
- Переписка/поддержка: тикеты, письма, записи звонков (при уведомлении).
- Маркетинг/аналитика: подписки, события, отклики, идентификаторы.
8. Матрица целей и правовых оснований
Цель | Категории данных | Основание (GDPR) | Комментарий |
---|---|---|---|
Исполнение договора | идентиф., контактные, бухгалтерские | art. 6(1)(b) | создание аккаунта, обслуживание, панель клиента |
Юридические обязанности | бухгалтерские, налоговые, кадровые | art. 6(1)(c) | Ustawa o rachunkowości; Ordynacja podatkowa; ZUS |
Законные интересы | технические, переписка | art. 6(1)(f) | безопасность, поддержка, доказательство коммуникаций |
Маркетинг | контактные, аналитика | art. 6(1)(a)/(f) | согласие на cookies/рассылки |
Безопасность | лог‑данные, IP, токены | art. 6(1)(f), 32 | журналы, IDS/IPS, расследования инцидентов |
9. Источники данных и правовая информация (art. 13–14)
- прямо от субъекта данных (формы, договоры, панель клиента);
- от клиентов Finoditax (в рамках поручения по art. 28 для кадровых/бухгалтерских процессов);
- публичные реестры (KRS, CEIDG, GUS);
- гос. системы (ePUAP, PUE ZUS, KAS, e‑Deklaracje);
- автоматически — cookies, логи, SDK, метки в письмах.
Информация по art. 13 предоставляется в момент сбора; по art. 14 — не позднее 30 дней либо при первом контакте, либо при первом раскрытии адресату.
10. Сроки хранения (расширенная таблица)
Категория | Срок | Основание |
---|---|---|
Бухгалтерские документы | 5 лет после отчётного года | Ustawa o rachunkowości, art. 74 |
Налоговые записи | 5 лет после налогового года | Ordynacja podatkowa, art. 70 §1 |
Кадровые/зарплатные | 10 лет | Kodeks pracy |
Договоры и переписка | 3 года после окончания обслуживания | art. 6(1)(f), Kodeks cywilny |
Маркетинговые | до отзыва/макс. 3 года | art. 6(1)(a)/(f) |
Логи безопасности | до 12 мес. | art. 6(1)(f) |
Резервные копии | до 90 дней | art. 5(1)(e) |
По истечении сроков применяется безопасное удаление/анонимизация; уничтожение резервных копий — по регламенту хранения.
11. Получатели, обработчики и субобработчики
- Госорганы: KAS, ZUS, Urząd Skarbowy, суды (на основании закона).
- ИТ‑провайдеры (хостинг, CDN, почтовые сервисы), банки/платёжные операторы, юридические/аудиторские компании.
- Аналитические/маркетинговые платформы — только при действующем согласии.
- Внутренние получатели Finoditax — по принципу минимально необходимого доступа.
Договоры по art. 28(3) GDPR предусматривают: предмет/длительность, цели и характер, категории данных/субъектов, TOMs, субобработку с разрешением, помощь в выполнении прав субъектов (art. 12–23), возврат/удаление, аудит.
12. Международная передача (гл. V GDPR, SCC/DPF)
Передача в третьи страны допускается при: решении об адекватности (art. 45), соответствующих гарантиях (SCC — art. 46) либо при исключениях (art. 49). Для США — участие поставщика в EU–US Data Privacy Framework и/или SCC, с минимизацией данных и криптографической защитой.
13. TOMs: технические и организационные меры (art. 32)
- Шифрование TLS 1.3 при передаче; AES‑256 «в покое»; управление ключами.
- Многофакторная аутентификация, RBAC, принцип наименьших привилегий.
- Журналирование действий (≥ 12 мес.), контроль целостности логов.
- IDS/IPS, антивирус, CSP; защита от XSS/CSRF/SQLi; изоляция сред.
- Резервное копирование (до 90 дней), регулярные тесты восстановления.
- Обучение персонала, NDA, политика паролей, симуляции фишинга.
15. Процедуры DSAR (права субъектов данных)
- Подача запроса: e‑mail info@finoditax.com или почта (ul. Kawia 23, 42‑202 Częstochowa).
- Верификация личности: уточнение данных/методов связи.
- Срок ответа: 30 дней; продление до 60 при сложности (art. 12(3)).
- Форма предоставления: электронная/письменная, машинно‑читаемая (при переносимости).
- Отказ/ограничение: при правовых препятствиях с уведомлением и правом жалобы в UODO.
Доступ: art. 15; исправление: art. 16; удаление: art. 17; ограничение: art. 18; переносимость: art. 20; возражение: art. 21; автоматизация: art. 22 (не применяется).
16. Инциденты, 72‑часовое уведомление, реестр
- Фиксация и изоляция инцидента; оценка риска и масштабов.
- Уведомление UODO ≤ 72 часов (art. 33); уведомление субъектов при высоком риске (art. 34).
- Устранение причин, профилактика, обучение, обновление TOMs.
- Ведение регистра нарушений (Breach Register) и отчётности.
17. DPIA/ROPA и подотчётность
Finoditax ведёт ROPA (art. 30), проводит DPIA (art. 35) для процессов с высоким риском (масштабная обработка, кросс‑доменные интеграции, данные сотрудников клиентов), документирует риски, меры и остаточный риск; при необходимости консультируется с UODO (art. 36). Подотчётность — art. 5(2), 24.
18. Изменения, коллизии, приоритеты
Новая редакция вступает в силу с публикации. При коллизиях приоритет имеет положение, обеспечивающее большую защиту субъекта данных. Недействительность отдельного положения не влияет на действительность остального документа (severability).
19. Контакты и надзорный орган
Finoditax Sp. z o.o. · ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com · finoditax.com
UODO — Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00‑193 Warszawa · +48 22 531 03 00 · uodo.gov.pl